Beaucoup de virus

Question

Bonjour,
récemment j'ai analysé mon PC avec différents antivirus (advast, ad-aware, spybot, malwarebyte, ccleaner...), celui-ci étant un PC familial et donc certaines personnes de ma famille font parfois n'importe quoi...

Problème, j'ai trouvé une vingtaine de virus...

Je pense donc que mes antivirus sont insuffisants car il doit y avoir beaucoup de restes sur mon PC.

Je viens donc demander l'aide d'experts.

Voila mon rapport:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Propriétaire at 2009-06-04 14:03:00
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 198 GB (65%) free of 305 GB
Total RAM: 1535 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:21, on 04/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Bureau\RSIT.exe
C:\Program Files	rend micro\Propriétaire.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = ?
O4 - Startup: Product Registration.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

jlpjlp · Answer

slt,

il en reste

Télécharge et installe UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisis l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

guillox · Answer

Re,

Voila le rapport : (pour précision, la plupart des virus que j'avais étaient des "chevals de trois"... ça fait peur XD). (merci).


############################## [ UsbFix V3.028 | Scan ]

# User : Propriétaire (Administrateurs) # PC-ACER
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 14:59:42 | 04/06/2009

#               Intel(R) Pentium(R) 4 CPU 2.93GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090603-0] 4.8.1335 [ Enabled | Updated ]

# C:\ # Disque fixe local # 298,08 Go (193,21 Go free) [Windows XP] # NTFS
# D:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
# E:\ # Disque fixe local # 465,76 Go (309,35 Go free) # NTFS
# F:\ # Disque fixe local # 279,47 Go (3,92 Go free) [tvix] # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre Startup ]

HKCU_Main:   "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp" 
HKCU_Main:   "Window Title"="Orange" 
HKLM_logon:  "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon:  "DefaultUserName"="Propri‚taire" 
HKLM_logon:  "AltDefaultUserName"="Propri‚taire" 
HKLM_logon:  "LegalNoticeCaption"="" 
HKLM_logon:  "LegalNoticeText"="" 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
HKLM_Run:    nwiz=nwiz.exe /install 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    RTHDCPL=RTHDCPL.EXE 
HKLM_Run:    Alcmtr=ALCMTR.EXE 
HKLM_Run:    NeroFilterCheck=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe 
HKLM_Run:    WOOWATCH=C:\PROGRA~1\Wanadoo\Watch.exe 
HKLM_Run:    WOOTASKBARICON=C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe 
HKLM_Run:    HP Software Update="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" 
HKLM_Run:    avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
HKLM_Run:    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
HKLM_Run:    SMSTray=C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe 
HKLM_Run:    SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    WOOKIT=C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx  
HKCU_Run:    MsnMsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background  
HKCU_Run:    swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  
HKCU_Run:    SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe  

################## [ Fichiers # Dossiers infectieux ]

Found ! C:\aston.exe  
Found ! E:\autorun.inf  

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{279c5500-241a-11de-b5ae-0016ec2bd43f}\Shell\Auto\Command  
HKCU\...\Explorer\MountPoints2\{279c5500-241a-11de-b5ae-0016ec2bd43f}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{58139417-2381-11de-b5ac-0016ec2bd43f}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{5813941d-2381-11de-b5ac-0016ec2bd43f}\Shell\Auto\Command  
HKCU\...\Explorer\MountPoints2\{5813941d-2381-11de-b5ac-0016ec2bd43f}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{f7b9c7dd-1ece-11de-b5a5-0016ec2bd43f}\Shell\AutoRun\Command  

################## [ ! Fin du rapport # UsbFix V3.028 ! ]

jlpjlp · Answer

ok

analyse ce fichier sur virus total et colle le rapport:  https://www.virustotal.com/gui/

C:\sfide.exe 



_____________________



Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

guillox · Answer

Re,

alors voila le rapport du fichier demandé (je crois que c'est un virus XD).
C'est un mauvais virus à votre avis?

 Fichier sfide.exe reçu le 2009.06.04 13:10:06 (UTC)
Situation actuelle: terminé
Résultat: 11/40 (27.50%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.0.0.101 	2009.06.04 	Downloader.Angelus!IK
AhnLab-V3 	5.0.0.2 	2009.06.04 	Win-Trojan/Vundo.108544.K
AntiVir 	7.9.0.180 	2009.06.04 	DR/Angelus.vgb
Antiy-AVL 	2.0.3.1 	2009.06.04 	-
Authentium 	5.1.2.4 	2009.06.03 	-
Avast 	4.8.1335.0 	2009.06.03 	-
AVG 	8.5.0.339 	2009.06.04 	-
BitDefender 	7.2 	2009.06.04 	-
CAT-QuickHeal 	10.00 	2009.06.04 	-
ClamAV 	0.94.1 	2009.06.04 	-
Comodo 	1256 	2009.06.04 	-
DrWeb 	5.0.0.12182 	2009.06.04 	-
eSafe 	7.0.17.0 	2009.06.03 	Win32.DRAngelus.Vgb
eTrust-Vet 	31.6.6539 	2009.06.04 	-
F-Prot 	4.4.4.56 	2009.06.03 	-
F-Secure 	8.0.14470.0 	2009.06.04 	-
Fortinet 	3.117.0.0 	2009.06.04 	-
GData 	19 	2009.06.04 	-
Ikarus 	T3.1.1.59.0 	2009.06.04 	-
K7AntiVirus 	7.10.754 	2009.06.04 	-
Kaspersky 	7.0.0.125 	2009.06.04 	-
McAfee 	5635 	2009.06.03 	-
McAfee+Artemis 	5635 	2009.06.03 	Artemis!DB5B5DF2099E
McAfee-GW-Edition 	6.7.6 	2009.06.04 	Trojan.Dropper.Angelus.vgb
Microsoft 	1.4701 	2009.06.04 	-
NOD32 	4130 	2009.06.04 	-
Norman 	6.01.09 	2009.06.03 	-
nProtect 	2009.1.8.0 	2009.06.04 	-
Panda 	10.0.0.14 	2009.06.03 	Suspicious file
PCTools 	4.4.2.0 	2009.06.02 	-
Prevx 	3.0 	2009.06.04 	High Risk Fraudulent Security Program
Rising 	21.32.34.00 	2009.06.04 	-
Sophos 	4.42.0 	2009.06.04 	-
Sunbelt 	3.2.1858.2 	2009.06.03 	-
Symantec 	1.4.4.12 	2009.06.04 	Trojan.Vundo
TheHacker 	6.3.4.3.339 	2009.06.03 	-
TrendMicro 	8.950.0.1092 	2009.06.04 	-
VBA32 	3.12.10.6 	2009.06.03 	Trojan.Win32.Stuh.oow
ViRobot 	2009.6.4.1769 	2009.06.04 	Trojan.Win32.Stuh.108544
VirusBuster 	4.6.5.0 	2009.06.03 	-
Information additionnelle
File size: 108544 bytes
MD5   : db5b5df2099edb2511aaea77c8dff97a
SHA1  : b84a3e9f68c35001f75c0dcdd5894f3138801737
SHA256: 34ae174105c0e998b84f13cc538d6cdea7797a4c62248a1872cfbc9c42f7fc1a
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x645C
timedatestamp.....: 0x480251CD (Sun Apr 13 20:32:45 2008)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x99C8 0x9A00 6.58 fd7744c26c2bf4d279968be94b283b11
.data 0xB000 0x1BE4 0x400 4.25 99858e86526942a66950c7139f78a725
.rsrc 0xD000 0x11000 0x10600 7.09 cf7a3bf2e556c2337c80285a239bdf9a

( 6 imports )

> advapi32.dll: FreeSid, AllocateAndInitializeSid, EqualSid, GetTokenInformation, OpenProcessToken, AdjustTokenPrivileges, LookupPrivilegeValueA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA, RegSetValueExA, RegQueryValueExA, RegCreateKeyExA, RegQueryInfoKeyA
> comctl32.dll: -
> gdi32.dll: GetDeviceCaps
> kernel32.dll: LocalFree, LocalAlloc, GetLastError, GetCurrentProcess, lstrlenA, GetModuleFileNameA, GetSystemDirectoryA, _lclose, _llseek, _lopen, WritePrivateProfileStringA, GetWindowsDirectoryA, CreateDirectoryA, GetFileAttributesA, ExpandEnvironmentStringsA, lstrcpyA, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, IsDBCSLeadByte, GetShortPathNameA, GetPrivateProfileStringA, GetPrivateProfileIntA, lstrcmpiA, RemoveDirectoryA, FindClose, FindNextFileA, DeleteFileA, SetFileAttributesA, lstrcmpA, FindFirstFileA, FreeResource, GetProcAddress, LoadResource, SizeofResource, FindResourceA, lstrcatA, CloseHandle, WriteFile, SetFilePointer, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, SetCurrentDirectoryA, GetTempFileNameA, ExitProcess, CreateFileA, LoadLibraryExA, lstrcpynA, GetVolumeInformationA, FormatMessageA, GetCurrentDirectoryA, GetVersionExA, GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetTempPathA, GetSystemInfo, CreateMutexA, SetEvent, CreateEventA, CreateThread, ResetEvent, TerminateThread, GetDriveTypeA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, ReadFile, LoadLibraryA, GetDiskFreeSpaceA, MulDiv, EnumResourceLanguagesA, FreeLibrary, LockResource
> user32.dll: ExitWindowsEx, wsprintfA, CharNextA, CharUpperA, CharPrevA, SetWindowLongA, GetWindowLongA, CallWindowProcA, DispatchMessageA, MsgWaitForMultipleObjects, PeekMessageA, SendMessageA, SetWindowPos, ReleaseDC, GetDC, GetWindowRect, SendDlgItemMessageA, GetDlgItem, SetForegroundWindow, SetWindowTextA, MessageBoxA, DialogBoxIndirectParamA, ShowWindow, EnableWindow, GetDlgItemTextA, EndDialog, GetDesktopWindow, MessageBeep, SetDlgItemTextA, LoadStringA, GetSystemMetrics
> version.dll: GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeA

( 0 exports )
TrID  : File type identification
Win64 Executable Generic (63.0%)
Win32 Executable MS Visual C++ (generic) (27.7%)
Win32 Executable Generic (6.2%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
ssdeep: 3072:TGu9BlfzWIbXWm+w0Jp5iSA+Ju2ciZ7prviEj:T/0uoy+Ju2c8v
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=C80123880092EC2AA87E01DEB3FDF3001EA6E62E
PEiD  : -
packers (F-Prot): CAB
RDS   : NSRL Reference Data Set


Voila le rapport USB Fix:

############################## [ UsbFix V3.028 | Cleaning ]

# User : Propriétaire (Administrateurs) # PC-ACER
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:18:39 | 04/06/2009

#               Intel(R) Pentium(R) 4 CPU 2.93GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090603-0] 4.8.1335 [ Enabled | Updated ]

# C:\ # Disque fixe local # 298,08 Go (193,22 Go free) [Windows XP] # NTFS
# D:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
# E:\ # Disque fixe local # 465,76 Go (309,35 Go free) # NTFS
# F:\ # Disque fixe local # 279,47 Go (3,92 Go free) [tvix] # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\aston.exe    
Deleted ! E:\autorun.inf    

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\...\Explorer\MountPoints2\{279c5500-241a-11de-b5ae-0016ec2bd43f}\Shell\Auto\Command  
Deleted ! HKCU\...\Explorer\MountPoints2\{58139417-2381-11de-b5ac-0016ec2bd43f}\Shell\AutoRun\Command  
Deleted ! HKCU\...\Explorer\MountPoints2\{5813941d-2381-11de-b5ac-0016ec2bd43f}\Shell\Auto\Command  
Deleted ! HKCU\...\Explorer\MountPoints2\{f7b9c7dd-1ece-11de-b5a5-0016ec2bd43f}\Shell\AutoRun\Command  

################## [ Listing des fichiers présent ]

[31/01/2009 15:42|--a------|0] - C:\AUTOEXEC.BAT
[31/01/2009 15:37|---hs----|216] - C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] - C:\Bootfont.bin
[31/01/2009 15:42|--a------|0] - C:\CONFIG.SYS
[31/01/2009 15:42|-rahs----|0] - C:\IO.SYS
[31/01/2009 15:42|-rahs----|0] - C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] - C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] - C:
tldr
[29/02/2004 17:44|--a------|52576] - C:\orange.bmp
[?|?|?] - C:\pagefile.sys
[14/05/2009 19:32|--a------|108544] - C:\sfide.exe
[07/03/2009 11:39|--ah-----|268] - C:\sqmdata00.sqm
[08/03/2009 09:23|--ah-----|268] - C:\sqmdata01.sqm
[09/03/2009 12:17|--ah-----|268] - C:\sqmdata02.sqm
[09/03/2009 14:36|--ah-----|268] - C:\sqmdata03.sqm
[24/03/2009 10:35|--ah-----|268] - C:\sqmdata04.sqm
[25/03/2009 10:28|--ah-----|268] - C:\sqmdata05.sqm
[25/03/2009 10:42|--ah-----|172] - C:\sqmdata06.sqm
[25/03/2009 20:50|--ah-----|268] - C:\sqmdata07.sqm
[25/03/2009 21:32|--ah-----|268] - C:\sqmdata08.sqm
[26/03/2009 12:33|--ah-----|268] - C:\sqmdata09.sqm
[26/03/2009 21:45|--ah-----|268] - C:\sqmdata10.sqm
[27/03/2009 18:03|--ah-----|268] - C:\sqmdata11.sqm
[28/03/2009 07:49|--ah-----|268] - C:\sqmdata12.sqm
[07/03/2009 11:39|--ah-----|244] - C:\sqmnoopt00.sqm
[08/03/2009 09:23|--ah-----|244] - C:\sqmnoopt01.sqm
[09/03/2009 12:17|--ah-----|244] - C:\sqmnoopt02.sqm
[09/03/2009 14:36|--ah-----|244] - C:\sqmnoopt03.sqm
[24/03/2009 10:35|--ah-----|244] - C:\sqmnoopt04.sqm
[25/03/2009 10:28|--ah-----|244] - C:\sqmnoopt05.sqm
[25/03/2009 10:42|--ah-----|172] - C:\sqmnoopt06.sqm
[25/03/2009 20:50|--ah-----|244] - C:\sqmnoopt07.sqm
[25/03/2009 21:32|--ah-----|244] - C:\sqmnoopt08.sqm
[26/03/2009 12:33|--ah-----|244] - C:\sqmnoopt09.sqm
[26/03/2009 21:45|--ah-----|244] - C:\sqmnoopt10.sqm
[27/03/2009 18:03|--ah-----|244] - C:\sqmnoopt11.sqm
[28/03/2009 07:49|--ah-----|244] - C:\sqmnoopt12.sqm
[04/06/2009 15:20|--a------|4669] - C:\UsbFix.txt
[01/01/1995 02:00|-r-------|44] - D:\Track01.cda
[01/01/1995 02:06|-r-------|44] - D:\Track02.cda
[01/01/1995 02:10|-r-------|44] - D:\Track03.cda
[01/01/1995 02:16|-r-------|44] - D:\Track04.cda
[01/01/1995 02:20|-r-------|44] - D:\Track05.cda
[01/01/1995 02:23|-r-------|44] - D:\Track06.cda
[01/01/1995 02:27|-r-------|44] - D:\Track07.cda
[01/01/1995 02:31|-r-------|44] - D:\Track08.cda
[01/01/1995 02:34|-r-------|44] - D:\Track09.cda
[01/01/1995 02:38|-r-------|44] - D:\Track10.cda
[01/01/1995 02:42|-r-------|44] - D:\Track11.cda
[01/01/1995 02:45|-r-------|44] - D:\Track12.cda
[01/01/1995 02:48|-r-------|44] - D:\Track13.cda
[01/01/1995 02:52|-r-------|44] - D:\Track14.cda
[01/01/1995 02:59|-r-------|44] - D:\Track15.cda
[01/01/1995 02:02|-r-------|44] - D:\Track16.cda
[01/01/1995 02:06|-r-------|44] - D:\Track17.cda
[01/01/1995 02:11|-r-------|44] - D:\Track18.cda
[01/01/1995 02:15|-r-------|44] - D:\Track19.cda
[03/09/2008 05:40|--a------|71738] - E:\Maxtor_Desktop.ico
[24/08/2007 14:04|---hs----|2372] - F:\AlbumArtSmall.jpg
[24/08/2007 14:04|---hs----|8804] - F:\Folder.jpg
[23/07/2007 22:07|--ahs----|2560] - F:\Thumbs.db

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ ! Fin du rapport # UsbFix V3.028 ! ]

guillox · Answer

re, 
désolé pour le double poste.

Juste pour savoir si vous avez bien reçu le message, car vous n'avez toujours pas répondu (tout vient à point qui sait attendre).
Mais bon j'aimerai nettoyer le plus rapidement mon PC^^.
Merci.

jlpjlp · Answer

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir 


• Copie le texte en gras ci dessous : 


C:\sfide.exe


• Ouvre le Bloc-Notes puis colle le texte copié. 
(Démarrer\Tous les programmes\Accessoires\Bloc notes.) 
• Sauvegarde ce fichier sous le nom de UsbScript.txt 

• Glisse maintenant le fichier UsbScript.txt sur le raccourci d'UsbFix présent sur ton bureau comme ceci : 


http://sd-1.archive-host.com/membres/up/127028005715545653/U­SBscript.gif 

• Cela va relancer UsbFix, 

• Patiente le temps du scan.Le bureau va disparaître c'est normal! 

• Ne touche à rien tant que le scan n'est pas terminé. 

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau . 

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt ) 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

guillox · Answer

Re,

désolé, mais ça marche pas du tout...

Sa fait une demi heure que mon ordinateur est bloqué...

Il n'y a pas moyen de le supprimer autrement? (Manuellement ou autre?)

Merci de ta réponse.

jlpjlp · Answer

si comme ceci:


télécharge OTMoveIt 
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved. 
(attention bien mettre :files)

:processes
explorer.exe
:files
C:\sfide.exe 
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

guillox · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\sfide.exe moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\etilqs_YqzF4U3PdTTTVA9GDY5z scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DFD832.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_5d8.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_62c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 06042009_165514

Files moved on Reboot...
File C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\etilqs_YqzF4U3PdTTTVA9GDY5z not found!
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\hpodvd09.log moved successfully.
File C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DFD832.tmp not found!
File move failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS	emp\Perflib_Perfdata_5d8.dat not found!
File C:\WINDOWS	emp\Perflib_Perfdata_62c.dat not found!
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\XUL.mfl moved successfully.

Voila le rapport!

Merci.

Et maintenant ?

jlpjlp · Answer

ok

utilise  pour supprimer tes traces 

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo 
(dans les options puis avancé :désactive la case: effacer les fichiers de plus de 48 heures)
https://www.malekal.com/tutoriel-ccleaner/
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

______________________

vire ce qaui est en quarantaine dans avast, spybot,ad aware, malwarebyte ...

_______________________
Télécharge ToolsCleaner sur ton bureau. 
-->  http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

_______________________

 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

guillox · Answer

Voila le rapport de panda (il vient juste de se finir alors que je l'avais commencé tout à l'heure...).

Pour bitdefender j'en avais déjà fait un donc je ferai celui de kapersky.

Voila le rapport: 

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-06-04 21:34:13
PROTECTIONS: 1
MALWARE: 18
SUSPECTS: 4
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1335 [VPS 090604-0]     4.8.1335                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@doubleclick[1].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@doubleclick[2].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@atdmt[3].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@atdmt[2].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@tradedoubler[1].txt
00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@fastclick[2].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@mediaplex[2].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@xiti[1].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@apmebf[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@bs.serving-sys[1].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@weborama[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@adtech[1].txt
00168116  Cookie/Comclick                    TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@fl01.ct2.comclick[1].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@advertising[2].txt
00173520  Cookie/Bluestreak                  TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@bluestreak[2].txt
00173520  Cookie/Bluestreak                  TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@bluestreak[1].txt
00184846  Cookie/Adrevolver                  TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@adrevolver[2].txt
00184846  Cookie/Adrevolver                  TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@adrevolver[3].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Cookies	amet@smartadserver[2].txt
00590315  Rootkit/Agent.LNB                  HackTools           No        0         Yes            No           C:\System Volume Information\_restore{A676C249-9E86-4975-B96A-AD5C1EEB54C1}\RP111\A0033785.sys
00590315  Rootkit/Agent.LNB                  HackTools           No        0         Yes            No           C:\System Volume Information\_restore{A676C249-9E86-4975-B96A-AD5C1EEB54C1}\RP111\A0033695.sys
00590315  Rootkit/Agent.LNB                  HackTools           No        0         Yes            No           C:\System Volume Information\_restore{A676C249-9E86-4975-B96A-AD5C1EEB54C1}\RP111\A0033673.sys
03587590  Adware/Yassist                     Adware              No        0         No             No           C:\Documents and Settings\Propriétaire\Bureau\musique et jeux\Mes vidéos\DivX Movies\DivXInstaller.exe[²ÇÇ\y_toolbar.exe][²èÇ]
03587590  Adware/Yassist                     Adware              No        0         No             No           C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Mes documents\musique et jeux\Mes vidéos\DivX Movies\DivXInstaller.exe[²ÇÇ\y_toolbar.exe][²èÇ]
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              ry
;===================================================================================================================================================================================
No        C:\System Volume Information\_restore{A676C249-9E86-4975-B96A-AD5C1EEB54C1}\RP104\A0029687.exe                                                                                                                                                                                                                                                                                                                                                                                                                        ry
No        C:\System Volume Information\_restore{A676C249-9E86-4975-B96A-AD5C1EEB54C1}\RP104\A0029724.exe                                                                                                                                                                                                                                                                                                                                                                                                                        ry
No        C:\System Volume Information\_restore{A676C249-9E86-4975-B96A-AD5C1EEB54C1}\RP121\A0036731.exe                                                                                                                                                                                                                                                                                                                                                                                                                        ry
No        C:\_OTMoveIt\MovedFiles\06042009_165514\sfide.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                     ry
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                ry
;===================================================================================================================================================================================
;===================================================================================================================================================================================

jlpjlp · Answer

télécharge OTMoveIt 
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved. 
(attention bien mettre :files)

:processes
explorer.exe
:files
C:\Documents and Settings\Propriétaire\Bureau\musique et jeux\Mes vidéos\DivX Movies\DivXInstaller.exe
C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Mes documents\musique et jeux\Mes vidéos\DivX Movies\DivXInstaller.exe
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

____________________



Désactive ta restauration systeme puis redemarre ton ordi puis réactive là comme ceci:
https://www.informatruc.com

jlpjlp · Answer

ensuite mets moi un rapport tool cleaner


Télécharge ToolsCleaner sur ton bureau.
--> https://www.commentcamarche.net/telecharger/ 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

guillox · Answer

Voili voilou : 

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\_OtMoveIt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\_OtMoveIt: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\UsbFix: supprimé !

jlpjlp · Answer

fais dans l'ordre . Otmovit puis désactive ta restauration . Puis fais tool cleaner. Dis ensuite si encore des soucis

guillox · Answer

Désolé je ne comprends pas trop la consigne (je suis un boulet XD)...

OTmovit a été supprimé...

jlpjlp · Answer

pas grave télécharge le de nouveau

guillox · Answer

Et je lance Otmovit sans rien n'y mettre dedans?
(Si je ne met rien ça ne va rien supprimer non?)

guillox · Answer

Voila pour le message 12 :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\Documents and Settings\Propriétaire\Bureau\musique et jeux\Mes vidéos\DivX Movies\DivXInstaller.exe moved successfully.
C:\SAUVEGARDE\Windows\Documents and Settings\TAMET\Mes documents\musique et jeux\Mes vidéos\DivX Movies\DivXInstaller.exe moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\etilqs_Vg1NQdrshOawc3go54bv scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\JETAAF9.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF153B.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BITWSITU\megavideo_com[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\5B60WOGE\filemanager[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\5B60WOGE\filemanager[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_268.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_580.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 06052009_162819

Files moved on Reboot...
File C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\etilqs_Vg1NQdrshOawc3go54bv not found!
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\hpodvd09.log moved successfully.
File C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\JETAAF9.tmp not found!
File C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF153B.tmp not found!
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BITWSITU\megavideo_com[1].htm moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\5B60WOGE\filemanager[1].htm moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\5B60WOGE\filemanager[2].htm moved successfully.
File move failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS	emp\Perflib_Perfdata_268.dat not found!
C:\WINDOWS	emp\Perflib_Perfdata_580.dat moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\XUL.mfl moved successfully.

guillox · Answer

Et pour le message 13 (désolé pour le double poste...)

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\_OtMoveIt: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\musique et jeux\dossiers\sécurité\OTMoveIt3.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Propriétaire\Bureau\musique et jeux\dossiers\sécurité\OTMoveIt3.exe: supprimé !
C:\_OtMoveIt: supprimé !

jlpjlp · Answer

comment se comporte le pc?

guillox · Answer

Et bien, il se comporte plutôt bien.

Or, des fois il plante (hier par exemple) il s'éteint tout seul...

De plus, j'ai un réseaux à 1 Méga et le débit est tout de même très lent (60ko par seconde) alors qu'il y a un an 130...

Donc voila pourquoi je m'inquiète principalement....

Pensez vous qu'il reste des menace potentielles?

jlpjlp · Answer

normalement c'est bon

si cela rame encore fais ceci


fais le ménage dans tes barres de recherche du net


puis

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 


déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

guillox · Answer

ComboFix 09-06-07.05 - Propriétaire 08/06/2009 14:35.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1535.965 [GMT 2:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090607-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\muzapp.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MYS_MUTEX_ALGORITHM_SERVICE
-------\Legacy_SYSDRV32


(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-08 au 2009-06-08  ))))))))))))))))))))))))))))))))))))
.

2009-06-05 09:06 . 2009-06-05 09:13	--------	dcsh--w-	c:\program files\Fichiers communs\WindowsLiveInstaller
2009-06-05 09:06 . 2009-06-05 09:06	--------	d-----w-	c:\documents and settings\All Users\Application Data\WLInstaller
2009-06-05 08:50 . 2009-06-05 08:52	--------	d-----w-	c:\windows\SxsCaPendDel
2009-06-05 00:29 . 2009-06-05 00:29	--------	d-----w-	c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-06-05 00:29 . 2009-06-05 00:29	--------	d-----w-	c:\program files\SUPERAntiSpyware
2009-06-04 19:42 . 2009-06-04 19:42	--------	d-----w-	c:\windows\system32\Kaspersky Lab
2009-06-04 15:22 . 2009-06-05 08:39	--------	d-----w-	c:\program files\Panda Security
2009-06-04 12:03 . 2009-06-04 20:42	--------	d-----w-	c:\program files	rend micro
2009-05-22 15:32 . 2009-04-06 13:32	15504	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-05-22 15:32 . 2009-04-06 13:32	38496	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-22 15:32 . 2009-05-22 15:32	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-05-22 15:32 . 2009-05-22 15:32	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-05-22 12:45 . 2009-05-22 15:27	--------	d-----w-	c:\windows\BDOSCAN8
2009-05-15 18:01 . 2009-05-15 18:01	--------	d-----w-	c:\program files\Firaxis Games

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-08 12:39 . 2009-02-05 17:19	--------	d-----w-	c:\program files\Wanadoo
2009-06-05 09:14 . 2009-03-31 13:12	--------	d-----w-	c:\program files\Windows Live
2009-06-05 08:37 . 2009-01-31 13:55	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-06-05 08:32 . 2009-04-16 15:55	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-05 00:28 . 2009-04-16 15:34	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
2009-06-04 11:28 . 2009-02-21 15:01	--------	d-----w-	c:\program files\LimeWire
2009-05-24 13:38 . 2009-02-18 18:56	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2009-04-16 15:55 . 2009-04-16 15:55	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-04-16 15:36 . 2009-04-16 15:35	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2009-04-16 15:35 . 2009-04-16 15:35	--------	d-----w-	c:\program files\Lavasoft
2009-04-01 14:53 . 2008-04-14 12:00	75614	----a-w-	c:\windows\system32\perfc00C.dat
2009-04-01 14:53 . 2008-04-14 12:00	468404	----a-w-	c:\windows\system32\perfh00C.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-07 39408]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-26 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SMSTray"="c:\program files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-12-14 132624]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-27 136600]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2008-10-07 1630208]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-08-05 16010752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-4 53248]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-4 258048]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Firefly Studios\Stronghold Legends\StrongholdLegends.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=

R0 m5287;m5287;c:\windows\system32\drivers\m5287.sys [29/01/2009 16:55 76544]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [07/02/2009 12:37 114768]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [26/05/2009 10:05 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [26/05/2009 10:05 72944]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07/02/2009 12:37 20560]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [26/05/2009 10:05 7408]
.
Contenu du dossier 'Tâches planifiées'

2009-06-08 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 16:36]
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-procexp90.Sys


.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.orange.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: { - c:\program files\Messenger\msmsgs.exe
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\pyvcmtnk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-08 14:39
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(676)
c:\program files\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(3652)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\program files\Megaupload\Mega Manager\MegaIEMn.dll
c:\program files\Microsoft Office\OFFICE11\msohev.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32undll32.exe
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\progra~1\Wanadoo\GestionnaireInternet.exe
c:\progra~1\Wanadoo\ComComp.exe
c:\windows\system32
vsvc32.exe
c:\program files\HP\Digital Imaging\bin\hpqgalry.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\progra~1\Wanadoo\Toaster.exe
c:\progra~1\Wanadoo\Inactivity.exe
c:\progra~1\Wanadoo\PollingModule.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-06-08 14:42 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-06-08 12:42

Avant-CF: 209 079 447 552 octets libres
Après-CF: 208 989 605 888 octets libres

179	--- E O F ---	2009-05-27 19:26

jlpjlp · Answer

ok cela va mieux? Limewire est allumé en permanence?

jlpjlp · Answer

alors vire le fichier limewire en suivant le lien
c:\program files\LimeWire 


_________________

Télécharge ToolsCleaner sur ton bureau. 
-->  http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

ps : pas besoin de m´envoyer le rapport si tout a été supprimé 

___________________

encore des soucis?

jlpjlp · Answer

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

* Lance l'installation du programme en exécutant le fichier téléchargé. 
* Double-clique maintenant sur le raccourci de Toolbar-S&D. 
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
* Poste le rapport généré. (C:\TB.txt)

jlpjlp · Answer

refais avec l'option 2

et vire ce crack:

C:\DOCUME~1\PROPRI~1\Bureau\musique et jeux\dossiers\Keygen.exe 





si cela persiste colle un autre scan en ligne que panda pour voir:



bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Eset (Nod32) en ligne
https://www.eset.com/

Beaucoup de virus

28 réponses

Votre réponse

Discussions similaires

Newsletters